Qu'est-ce que la chasse à la baleine ?

La "chasse à la baleine" est une forme spécifique de Hameçonnage qui cible les dirigeants d'entreprise de haut niveau, les gestionnaires, etc. C'est différent du phishing ordinaire en ce sens qu'avec la chasse à la baleine, les e-mails ou les pages Web servant l'escroquerie prennent un aspect plus sévère ou formel et ciblent généralement quelqu'un en particulier.

À titre de perspective, le phishing régulier sans chasse à la baleine est généralement une tentative d'obtenir les informations de connexion d'une personne sur un site de réseau social ou une banque. Dans ces cas, l'e-mail/le site d'hameçonnage semble assez standard, alors que, dans la chasse à la baleine, la conception de la page s'adresse explicitement au gestionnaire/exécutif attaqué.

Quel est l'objectif de la chasse à la baleine?

Le but est d'escroquer un membre de la haute direction pour qu'il divulgue des informations confidentielles sur l'entreprise. Cela se présente généralement sous la forme d'un mot de passe pour un compte sensible, auquel l'attaquant peut ensuite accéder pour obtenir plus de données.

La fin du jeu dans toutes les attaques de phishing comme la chasse à la baleine est d'effrayer le destinataire, de le convaincre qu'il doit prendre action pour procéder, comme éviter les frais juridiques, éviter d'être licencié, empêcher l'entreprise de faire faillite, etc.

À quoi ressemble une arnaque à la chasse à la baleine?

La chasse à la baleine, comme tout jeu d'escroquerie de phishing, implique une page Web ou un e-mail qui se fait passer pour légitime et urgent. Les escrocs les conçoivent pour qu'ils ressemblent à un e-mail professionnel critique ou à quelque chose de quelqu'un ayant autorité, soit en externe, soit même en interne, de l'entreprise elle-même.

La tentative de chasse à la baleine peut ressembler à un lien vers un site Web classique que vous connaissez bien. Il vous demande probablement vos informations de connexion, comme vous vous en doutez. Cependant, si vous ne faites pas attention, ce qui se passe ensuite est le problème.

Lorsque vous essayez de soumettre vos informations dans les champs de connexion, une notification apparaît indiquant que les informations étaient incorrectes et que vous devez réessayer. Aucun mal n'a été fait, non? Vous venez de saisir votre mot de passe de manière incorrecte - c'est pourtant l'arnaque!

Ce qui se passe dans les coulisses, c'est que lorsque vous entrez vos informations dans le faux site (qui ne peut pas vous connecter car ce n'est pas réel), les informations que vous avez saisies sont envoyées à l'attaquant, puis vous êtes redirigé vers le réel site Internet. Vous essayez à nouveau votre mot de passe et cela fonctionne très bien.

À ce stade, vous n'avez aucune idée que la page était fausse et que quelqu'un vient de voler votre mot de passe. Cependant, l'attaquant a maintenant votre nom d'utilisateur et votre mot de passe pour le site Web auquel vous pensiez vous être connecté.

Au lieu d'un lien, l'escroquerie par hameçonnage pourrait vous avoir télécharger un programme pour afficher un document ou une image. Le programme, qu'il soit réel ou non, a une connotation malveillante pour suivre tout ce que vous tapez ou supprimer des éléments de votre ordinateur.

En quoi la chasse à la baleine est différente des autres escroqueries par hameçonnage

Dans une escroquerie d'hameçonnage ordinaire, la page Web/l'e-mail peut être un faux avertissement de votre banque ou Pay Pal. La page truquée peut effrayer la cible en affirmant que son compte a été débité ou attaqué, et qu'elle doit saisir son identifiant et son mot de passe pour confirmer le débit ou pour vérifier son identité.

Dans le cas de la chasse à la baleine, la page Web/le courrier électronique de masquage prendra une forme plus sérieuse au niveau exécutif. Le contenu ciblera un cadre supérieur comme le PDG ou même simplement un superviseur qui pourrait avoir beaucoup d'influence dans l'entreprise ou qui pourrait avoir des informations d'identification sur des comptes précieux.

L'e-mail ou le site Web de la chasse à la baleine peut prendre la forme d'une fausse citation à comparaître, d'un faux message du FBI ou d'une sorte de plainte légale critique.

Comment puis-je me protéger des attaques de la chasse à la baleine?

Le moyen le plus simple de vous protéger contre une arnaque à la chasse à la baleine est d'être conscient de ce sur quoi vous cliquez. C'est si simple. Étant donné que la chasse à la baleine se produit sur les e-mails et les sites Web, vous pouvez éviter tous les liens malveillants en comprenant ce qui est réel et ce qui ne l'est pas.

Maintenant, il n'est pas toujours possible de savoir ce qui est faux. Parfois, vous recevez un nouvel e-mail de quelqu'un que vous n'avez jamais envoyé d'e-mail auparavant, et il peut vous envoyer quelque chose qui semble tout à fait légitime.

Cependant, si vous regardez le URL dans votre navigateur Web et assurez-vous de parcourir le site, même brièvement, pour rechercher des éléments qui semblent un peu étranges, vous pouvez réduire considérablement vos chances d'être attaqué de cette manière.

Les cadres et les managers tombent-ils vraiment dans le piège de ces e-mails de chasse à la baleine?

Oui, malheureusement, les gestionnaires tombent souvent dans le piège des escroqueries par courrier électronique. Prenons l'exemple de l'escroquerie de chasse à la baleine à comparaître du FBI en 2008.

Les escrocs ont attaqué environ 20 000 PDG d'entreprises, et environ 2000 d'entre eux sont tombés dans le piège de la chasse à la baleine en cliquant sur le lien dans l'e-mail. Ils pensaient qu'il téléchargerait un module complémentaire de navigateur pour voir l'intégralité de l'assignation.

En vérité, le logiciel lié était un enregistreur de frappe qui enregistrait secrètement les mots de passe des PDG et les transmettait aux escrocs. En conséquence, chacune des 2000 entreprises compromises a été piraté encore plus loin maintenant que les assaillants disposaient des informations dont ils avaient besoin.